Abweichende Ports für IPsec VPN oder IPsec hinter reverse Proxy?

Folgende Anforderungen: (Potentiell verschiedene) Menschen möchten am TH Fritzboxen mit IPsec¹ VPN-Endpoints betreiben um von außen auf ihre HW zuzugreifen. Ich muss daher den Traffic von außen durch die OPNsense FW des TH durch bringen. Ich sehe zwei Möglichkeiten:

  • NAT Port Forwarding mit individuellen (nicht-Standard-Ports) um mehrere Fritzbox-Endpoints zu ermöglichen
  • ngninx Reverse Proxy mittels SNI um mehrere Fritzbox-Endpoints zu ermöglichen

Portforwarding mit abweichenden Ports klappt leider nicht (VPN–Client von außen bekommt keine Antwort) obwohl das vielleicht gehen sollte: https://docs.fortinet.com/document/fortigate/7.0.0/new-features/33578/configurable-ike-port Und ein nginx Reverse Proxy scheint auch nicht (so einfach) zu klappen: https://github.com/hwdsl2/setup-ipsec-vpn/issues/596

Hat jemand Erfahrung mit dem Setup und kann mir einen Tipp geben, oder gibt es andere Ideen?


¹Wireguard, OpenVPN, oä wird von der Fritzbox nicht unterstützt.

Neuere Fritzboxen können Wireguard: https://avm.de/aktuelles/2022/wireguard-vpn-war-nie-so-einfach/

Ich weiß, daher schrieb ich ja extra, dass die (verwendete) Fritzbox es nicht kann…

Und VPN zentral anzubieten ist keine Option? So läuft’s bei uns, wir bieten IPSec und OpenVPN an.

doch OpenVPN betreiben wir auch zentral. Betroffener User betreibt jedoch seinen Server hinter einer Fritzbox bei uns im Netz, weil die gleichzeitig (andersherum) ein Site-to-Site-VPN zu einem externen Büro herstellt. Ob ich jetzt zwei VPNs verschachteln kann und das dann noch stabil läuft, weiß ich nicht. Erschien mir einfacher sein VPN bei uns durch die FW zu tunneln.